Microsoft Sentinel 用 WithSecure Elements コネクタ
WithSecure Elements は、統合されたクラウドベースのサイバー セキュリティ プラットフォームです。 WithSecure Elements コネクタを Microsoft Sentinel に接続することで、セキュリティ イベントを Syslog 経由で Common Event Format (CEF) で受信できます。 オンプレミスまたはクラウドに "Elements Connector" をデプロイする必要があります。 Common Event Format (CEF) により、各データ ログに対してネイティブ検索と相関関係、アラート、脅威インテリジェンス エンリッチメントが提供されます。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | CommonSecurityLog (WithSecure イベント) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | WithSecure |
クエリのサンプル
すべてのログ
CommonSecurityLog
| where DeviceVendor == "WithSecure™"
| sort by TimeGenerated
ベンダーのインストール手順
- Linux Syslog エージェントの構成
Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。
すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください
1.1 Linux コンピューターを選択または作成する
Microsoft Sentinel が WithSecurity ソリューションと Sentinel の間のプロキシとして使用する Linux コンピューターを選択または作成します。 このコンピューターは、オンプレミス環境、Microsoft Azure、またはその他のクラウドベースにすることができます。
Linux に
syslog-ngとpython/python3がインストールされている必要があります。
1.2 Linux コンピューターに CEF コレクターをインストールする
Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
- マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
次のコマンドを実行し、CEF コレクターをインストールして適用します。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
python3 の場合は、次のコマンドを使用します。
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python3 cef_installer.py {0} {1}
- WithSecure Elements コネクタから Syslog エージェントにデータを転送する
ここでは、Elements コネクタをインストールして構成する手順について説明します。
2.1 コネクタ サブスクリプションの注文
コネクタ サブスクリプションがまだ注文されていない場合は、Elements Portal で EPP に移動します。 次に、[ダウンロード] に移動し、[Elements コネクタ] セクションで [サブスクリプション キーの作成] ボタンをクリックします。 [サブスクリプション] でサブスクリプション キーを確認できます。
2.2 コネクタのダウンロード
[ダウンロード] に移動し、[WithSecure Elements コネクタ] セクションで適切なインストーラーを選択します。
2.3 管理 API キーの作成
EPP で右上隅のアカウント設定を開きます。 次に、[管理 API キーの取得] を選択します。 キーが以前に作成されている場合は、そこでも読み取ることができます。
2.4 コネクタのインストール
Elements コネクタをインストールするには、Elements コネクタのドキュメントに従います。
2.5 イベント転送の構成
インストール中に API アクセスが構成されていない場合は、「Elements コネクタの API アクセスの構成」に従います。 次に、[EPP]、[プロファイル] の順に移動し、コネクタ プロファイルを確認できる [For Connector] (コネクタ) を使用します。 新しいプロファイルを作成します (または、読み取り専用ではない既存のプロファイルを編集します)。 [イベント転送] でそれを有効にします。 SIEM システム アドレス: 127.0.0.1:514。 形式を [Common Event Format] に設定します。 プロトコルは [TCP] です。 プロファイルを保存し、[デバイス] タブの [Elements コネクタ] に割り当てます。
- 接続の検証
手順に従って接続を検証します。
Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。
接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。
ログが受信されない場合は、次の接続検証スクリプトを実行します。
- コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
- コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です
次のコマンドを実行して、接続を検証します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
python3 の場合は、次のコマンドを使用します。
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python3 cef_troubleshoot.py {0}
- コンピューターをセキュリティで保護する
必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。